0Day最為猖獗的7月

network-support.zoapcon.com

作者：張琦 　　2009年的7月，一定會載入信息安全史冊，火熱的7月爆發瞭大量的零日攻擊(0Day)，各種應用和系統漏洞導致0Day威脅高頻度爆發，IE、火狐、Office、視頻、Direct漏洞造成的大面積Web攻擊，無疑成為最具威脅的“漏洞月”。 　　0Day頻繁爆發的原因 　　0Day的概念最早用於軟件和遊戲破解領域。那時，0day的主要目的是信息交換，由於完全是非商業化、非盈利、志願的行為，並沒有被網絡安全管理者所關註。 　　還是2009年7月，如果你咨詢任何一名企業的網絡安全主管，問他們最擔心什麼？我想回答必然是：0Day。 　　從技術手段來講，似乎我們沒有什麼可再擔心的。但不可控的漏洞依然存在，它們存在於我們所使用的操作系統、網站平臺或其他第三方應用程序，我們並不知曉這些平臺中是否存在著某個不為人知的重大漏洞。但網絡已遭入侵，信息已被竊取，查遍所有漏洞數據庫和安全補丁資料很可能不得其解。 　　從概念上講，所謂0Day漏洞，是指那些沒有公開過，因而也沒有補丁的漏洞，也就是通常所說的“未公開漏洞”。從理論上講，每一個稍具規模的應用軟件都可能存在漏洞，隻是尚未被發現而已，彌補措施永遠滯後才是最大的威脅。那麼是什麼環境激發瞭0Day攻擊大面積爆發呢？有以下幾個主要原因： 　　·代碼編寫 　　造成0Day漏洞被利用的本質原因應該是在代碼編寫環節上。商業利益促使代碼編寫進度的無限加快，從而缺少瞭最重要的代碼安全檢測，本來需要反復循環的次數有可能減少。隻要用戶使用操作系統或應用程序，0Day的出現就是遲早的事，無論你是使用數據庫還是網站管理平臺，無論你是使用媒體播放器還是看圖工具。 　　在操作系統的代碼編寫上，並不像普通用戶想象的那樣，因為開源軟件並不會經過統一的更多的安全檢測，因此會比Windows存在更多的漏洞。隨著開源環境的普遍應用，在企業級平臺上威脅更大的災難很可能會爆發。 　　·不安全的Web環境 　　另外一個造成0Day危機爆發的原因在於不安全的Web服務環境，這為惡意軟件註入提供瞭入口，網絡犯罪者采用許多新手段來感染計算機，比如其中一種方法是先入侵一些合法的站點，然後誘使訪問這些站點的用戶前往放置瞭惡意軟件的服務器。 　　·不安全的內網環境 　　在今天日益泛濫的Web威脅環境中，“不知不覺”輕點一下鼠標，很可能就會幫黑客打開通往企業內部的網絡大門。如果一臺客戶端主機遭遇病毒，由於其內網環境的相互信賴，交叉感染的幾率將會大幅增加。終端的多元化發展，讓臺式機、筆記本電腦、U盤、手機等終端設備隨時訪問企業網絡成為可能。 　　·補丁推出滯後 　　系統管理員和信息安防專傢們都知道：每天都有幾十種新的安防漏洞被發現。從浩如煙海的互聯網裡把所有的系統漏洞都找出來，可以說沒有任何可能，更不用說為它們都打好補丁瞭，而這正是攻擊者所依仗的法寶。安全組織在發現漏洞之後，往往會經過正式的途徑通知軟件供應商，但廠商推出補丁程序最起碼需要十幾天或者更久的時間，這就造成瞭安全防禦體系的“空檔期”。 　　0Day危機如何防范 　　以往，對於利用漏洞進行傳播的病毒，我們可以下載更新，在漏洞出現的第一時間利用補丁程序和管理工具修復這些漏洞，保證系統安全穩定地運行。但針對0Day攻擊，由於廠商尚未對外發佈修補漏洞的補丁，因此最大限度避免該漏洞帶來的威脅的任務大多落到瞭企業和普通用戶身上。 　　這包括一些常規性的操作，不要小看這些非常基礎的操作，有的時候到會有奇效。例如：在受到漏洞影響的系統上運行程序時，以最小用戶權限運行；在電腦上啟用病毒防護軟件中的監控關鍵進程選項，定期檢查目前正在使用的登錄信息。 　　·尋找代碼中的漏洞 　　編寫安全的代碼是減少0Day攻擊最有效的手段。現在，編寫安全的軟件比以往更為重要，每個軟件開發人員都必須學習如何將安全性集成到項目當中。包含操作系統、應用平臺，哪怕是一個很小的插件的開發環境中都涉及瞭更多的安全編碼技術，這包括：緩沖區溢出避免、確定適當的訪問控制、以最小特權運行、加密的弱點、保護機密數據，以及規范表示等諸多問題。因此需要開發人員配合代碼安全審查制度的實施。 　　代碼安全審查的重點是識別出可能引起安全問題和事故的不安全的編碼技術和缺陷。雖然可能非常耗時，但是代碼審查必須在項目開發周期中定期進行，因為在開發時修補安全缺陷的成本和工作量比以後修補它們要小得多。 　　以0Day中出現頻率最高的緩沖區溢出為例，因為攻擊者可以將代碼註入正在運行的進程中並取得控制權，因此在發現之後竭盡全力將它們從代碼裡清除出去，顯然不如首先確保不讓它們進入代碼為妙。 　　·部署智能行為監控系統 　　企業根據需要來更新或升級現有的防護系統，例如增加基於惡意行為模式分析的防禦手段，通過這種防禦方式，不管惡意軟件利用瞭已知或是未知漏洞，都能夠被有效地檢測和發現。這種方式與基於特征分析的防禦手段相比，最大的優勢在於前者不需要具體分析某一惡意軟件的特征，也就不需要因為跟蹤最新的木馬或是漏洞而疲於奔命，它能夠有效防禦“未知”的惡意軟件，是應對0Day攻擊的有效補充。 　　很多網絡管理中心無法控制客戶端被惡意代碼侵入，無法對未安裝或者悄悄卸載瞭防病毒軟件的終端進行統計和遠程部署，從而無法精準定位網絡威脅的感染源頭，這就沒有辦法快速、安全地切斷入侵事件，同時為企業網絡內同一種病毒反復發作提供瞭溫床。因此，企業不但需要在網關上部署安全過濾產品，更應在內網佈置監控機制。 　　·加大雲安全產品部署 　　傳統防毒軟件查殺病毒的方法是通過病毒特征碼與殺毒軟件的病毒庫中的代碼來進行比較，如果病毒庫中有相同的特征碼，就認為這個程序是病毒。通過擴大病毒庫，對照查證病毒的做法已經達到極限，因為病毒庫無限擴大，將會令服務器和客戶端的壓力都很大。而且面對那麼多病毒，安全軟件和服務廠傢也不可能無限收集特征碼。因此，改變傳統防毒技術機制迫在眉睫。 　　如果從信息安全戰略的角度看，雲安全是被如0Day這樣的威脅“逼”出來的，其總體思路與傳統的安全邏輯的差別並不大，但二者的服務模式卻截然不同。 　　在“雲”的另一端，擁有專業的團隊來幫助用戶處理和分析安全威脅，也有先進的數據中心來幫你保存病毒庫，當然並發訪問能力也是超強的。然而，雲安全對用戶端的配置要求卻降低瞭，使用起來也像通透式防火墻哪樣，用戶並不需要知道它在哪裡，但卻有瞭核心。有瞭領導者，有瞭信譽評估機制，聯動起來的成千上萬個客戶端就可以在最短的時間內避免訪問那些被掛馬的站點，或者自動下載由第三方發佈的漏洞補丁。 Tags:IT Outsourcing,Network support,IT Support,電腦維修,IT外判服務,IT 技術支援,it outsource,IT Outsourcing Hong Kong